issue 7 global perspectives and insights kesadaran para anggota board mengenai potensi krisis dan...

Issue 7

GLOBAL PERSPECTIVES AND INSIGHTS:

Daya Tahan Terhadap Krisis

2

Global Perspectives: Crisis Resilience

globaliia.org

Daftar Isi

Audit Internal dan Daya Tahan Terhadap Krisis ......................................3

Krisis Kepercayaan yang Terungkap .......................................................3

Mengapa Perlu Daya Tahan? .................................................................5

Bertahan ..................................................................................................6

Bereaksi ..................................................................................................9

Memulihkan.............................................................................................12

Penutup ................................................................................................. 13

Penyumbang Melissa Agnes

Co-founder, Agnes + Day – Canada

James Lukaszewski

President, The Lukaszewski Group

Division, Risdall – United States

Héctor Ricardo Parra, CIA, CRMA,

CISA, CFE

Manager, CYA Consulting and

Auditing – Colombia

John Rapa

President and CEO, Tellefsen and

Company, LLC – United States

Dewan Penasehat

Nur Hayati Baharuddin, CIA, CCSA,

CFSA, CGAP, CRMA – IIA–Malaysia

Lesedi Lesetedi, CIA, QIAL – African

Federation IIA

Hans Nieuwlands, CIA, CCSA, CGAP –

IIA–Netherlands

Karem Obeid, CIA, CCSA, CRMA –

Member of IIA–United Arab Emirates

Carolyn Saint, CIA, CRMA, CPA –

IIA–North America

Ana Cristina Zambrano Preciado, CIA,

CCSA, CRMA – IIA–Colombia

Isu-isu Sebelumnya

Untuk mendapatkan isu-isu Global

Perspectives and Insights sebelumnya,

kunjungi www.theiia.org/gpi.

Feedback Pembaca

Kirim pertanyaan dan komentar ke

[email protected].

mailto:[email protected]

3

globaliia.org


globaliia.org

Audit Internal dan Daya Tahan Terhadap Krisis Kemungkinan adanya krisis yang sangat mengganggu kemampuan organisasi

dalam beroperasi nampak kurang disadari saat ini, mengingat begitu cepatnya

ancaman-ancaman global berkembang. Peristiwa-peristiwa sabotase cyber

yang canggih, pola cuaca yang sangat berubah, serangan teror, dan gangguan

di bidang ketenagakerjaan terus meningkat, dan dapat menyerang, tentu saja,

tanpa peringatan. Dengan kejadian-kejadian krisis ini dan ketidakmampuan

untuk melanjutkan operasi serta mencapai tujuan timbullah kerugian bagi

reputasi organisasi dan juga kemampuannya untuk memenuhi harapan

pemangku kepentingan.

Namun sebuah studi baru-baru ini mengungkapkan adanya kesenjangan besar

antara kesadaran para anggota board mengenai potensi krisis dan kesiapan

organisasi dalam menghadapi krisis. Untuk bisa mengenali potensi krisis,

menangani secara efektif gangguan-gangguan, dan kembali beroperasi normal

adalah sangat sulit. Memperoleh kemampuan untuk melakukan hal-hal

tersebut dengan cepat dan efisien dengan dampak yang minimum - yaitu

menjadi tahan krisis – adalah lebih sulit lagi, dan menjadi tujuan pokok.

Para ahli krisis sepakat bahwa kunci untuk menjadi tahan krisis adalah

persiapan dan audit internal berada pada posisi untuk menjalankan peran

kunci dalam proses ini. Luasnya keterampilan para auditor, posisinya di

organisasi, dan pengetahuan yang mendalam tentang operasi bisa membantu

dalam persiapan menghadapi krisis dan menggerakkan organisasi dari sadar

krisis menjadi tahan krisis – yaitu siap untuk bertahan, bereaksi, dan

memulihkan dari terjadinya peristiwa-peristiwa yang sangat mengganggu.

Krisis Kepercayaan Yang Terungkap Dari sebuah studi gabungan di tahun 2016 yang dilakukan oleh Deloitte Touche

Tohmatsu Limited dan Forbes Insights yang mencakup lebih dari 300 anggota

board dari seluruh dunia, Deloitte memperoleh wawasan mengenai keyakinan

pihak boards tentang kesadaran organisasi mereka terhadap ancaman-

ancaman yang menimbulkan krisis dan kemampuan untuk menghadapinya.

Lebih dari tiga per empat anggota-anggota board yang disurvey (76 persen)

percaya bahwa organisasi mereka akan menanggapi secara efektif sebuah

krisis yang terjadi besok, demikian menurut laporan survey itu. Namun kurang

dari separuh mengatakan bahwa perusahaan mereka mengamati masalah-

masalah secara dini atau memiliki “buku pedoman” untuk skenario-skenario

krisis yang mungkin terjadi (masing-masing 49 persen). Sepertiganya bahkan

tidak mengetahui apakah mereka punya “buku pedoman”.

Para ahli krisis sepakat bahwa kunci untuk menjadi tahan krisis adalah persiapan dan audit internal berada pada posisi untuk menjalankan peran kunci dalam proses ini.

4


globaliia.org

Hanya separuh dari para responden yang mengatakan bahwa mereka

melakukan diskusi dengan manajemen mengenai pencegahan krisis, atau

terlibat bersama manajemen di dalam memahami apa yang telah dilakukan

untuk mendukung kesiapan dalam menghadapi krisis. Dalam hal krisis yang

khusus, survey tersebut mengungkapkan adanya kesenjangan yang besar

antara pemahaman dan kesiapan. Sebagai contoh, jenis krisis yang membuat

para anggota board merasa sangat rentan adalah reputasi perusahaan (73

persen), tapi hanya 39 persen yang mengatakan bahwa mereka memiliki

rencana untuk menghadapinya. Dari mereka yang telah melampaui sebuah

krisis, kurang dari sepertiga (30 persen) merasa bahwa mereka memulihkan

reputasinya dalam waktu kurang dari satu tahun – 16 persen mengatakan

dalam waktu empat tahun atau lebih.

Tidak adanya kesiapan terhadap krisis ini dikonfirmasi dalam sebuah IIA poll

baru-baru ini. Di antara sekitar 1,500 profesional audit internal yang

berpartisipasi di sebuah webinar tentang risiko krisis, kurang dari sepertiganya

(31 persen) mengatakan bahwa organisasi mereka mempunyai “prosedur

tanggap krisis khusus yang jelas.” Empat persen tidak mempunyai prosedur

tanggap krisis, separuhnya mempunyai prosedur tanggap krisis yang umum,

dan yang mengkhawatirkan, 15 persen tidak mengetahui apakah prosedur

tersebut ada (Exhibit 1).

Studi-studi ini menunjukkan fakta bahwa banyak yang perlu diperbaiki dalam

hal menangani krisis. “Organisasi dapat melakukan investasi nyata yang terukur

untuk perencanaan dan pelatihan yang merubah kesadaran terhadap krisis

menjadi daya tahan terhadap krisis,” demikian Deloitte menyatakan dalam

laporannya. “Dan mereka juga bisa melakukan investasi yang dapat membantu

mengantisipasi kejadian-kejadian yang merugikan sebelum menjadi krisis yang

menggemparkan.”

John Rapa, president dan CEO dari Tellefsen and Company LLC, melihat audit

internal sebagai pemangku kepentingan utama dalam perencanaan krisis —

sebuah “voice of reason” yang bernilai untuk aspek-aspek strategi, taktik,

lingkup, asumsi, dan kendala dari rencana tersebut.

“Audit internal harus menjadi sebuah sounding board bagi mereka yang

bertanggungjawab untuk pembuatan, pelaksanaan, dan pemeliharaan

rencana,” kata Rapa. “Para auditor harus memiliki peran konsultatif dan

melakukan pengawasan dalam penyiapan rencana, memberi nilai tambah, dan

meningkatkan efektivitas pengawasan manajemen risiko.”

31%

50%

15%

4%

Clear, specificcrisis response

procedures

General crisisresponse

procedures

I don’t know if there are

procedures

No crisis responseprocedures

Exhibit 1: Prosedur Tanggap Krisis

Sumber: Pertanyaan polling dari February 2017

IIA North America webinar berjudul Crisis-

Proofing Your Organization. Pertanyaan:

Bagaimana anda menjelaskan prosedur tanggap

krisis di organisasi anda? Hanya dari respondeen

auditor internal. n = 1,467.

5

globaliia.org


globaliia.org

Mengapa Perlu Daya Tahan? Para auditor internal memahami tentang banyak konsep dan dokumen dalam

sebuah organisasi yang ditujukan untuk menanggapi gangguan-gangguan yang

tidak diharapkan, seperti crisis management, business continuity management,

incident response, disaster recovery, dan IT service continuity management.

Audit internal sering berpartisipasi dalam pengembangan rencana-rencana

tersebut. Tetapi banyak dari dokumen-dokumen ini adalah khusus untuk

bagian tertentu saja: business continuity management misalnya didasarkan

lebih pada penjagaan nilai bisnis. Salah satu komponennya adalah crisis

management, yaitu sebuah proses untuk memulihkan operasi.

Namun, sebuah krisis dapat mencakup lebih dari bagaimana membuat bisnis

berjalan lagi, yaitu ketika ada nyawa hilang, sebuah produk terkontaminasi,

data pribadi pelanggan dicuri, atau seorang CEO dipermalukan.

Auditor internal sebaiknya memperluas perannya terkait dengan krisis,

melangkah mundur dan mempertimbangkan gambaran besarnya – yaitu

tujuan organisasi secara luas dan risiko-risikonya. Mereka dapat membantu

menyiapkan pihak boards, executives, dan karyawan untuk menghadapi krisis,

memberikan assurance tentang kesiapan, dan membantu menanamkan

budaya tahan krisis.

Banyaknya konsep dan definisi untuk situasi krisis dan kebingungan yang

disebabkan oleh terminologi yang tidak jelas dalam sebuah tanggapan

terhadap insiden telah dipahami sebagai masalah oleh pihak yang berpengaruh

yaitu DRI International. Solusinya adalah membuat The International Glossary

for Resilience. DRI awalnya mengumpulkan istilah-istilah yang digunakan dalam

krisis-krisis yang terkait dengan business continuity, disaster recovery, atau risk

management. Setelah menyortir 2,189 istilah unik yang paling sering

digunakan, lalu memeriksa daftar tersebut melalui sebuah komite seleksi, dan

dipublikasikan dalam satu dokumen berisi lebih 250 definisi terbaik dari 26

sumber-sumber industri.

Daya tahan (Resilience) didefinisikan dalam Glossary sebagai “kemampuan

menyesuaikan dari sebuah organisasi di dalam lingkungan yang kompleks dan

terus berubah (the adaptive capacity of an organization in a complex and

changing environment),” yang berasal dari ASIS International, sebuah komunitas

global dari para praktisi keamanan. Definisi utama ini diikuti oleh a.) kemampuan

organisasi “untuk bertahan dari dampak sebuah peristiwa atau kemampuan

untuk memulihkan kinerja dalam periode waktu yang wajar setelah terdampak

oleh sebuah peristiwa (to resist being affected by an event or the ability to return

to an acceptable level of performance in an acceptable period of time after being

affected by an event)” dan b.) “kemampuan sebuah sistem untuk menjaga fungsi-

fungsi dan strukturnya dalam menghadapi perubahan internal dan eksternal serta

untuk mengalah dengan baik bila memang harus (capability of a system to

maintain its functions and structure in the face of internal and external change

and to degrade gracefully when it must).”

6


globaliia.org

Visi yang puitis dari istilah mengalah dengan baik selama menghadapi krisis

merupakah penggerak di belakang hasil kerja para ahli krisis seperti Melissa

Agnes dan James Lukaszewski. Keduanya berpendapat bahwa persiapan yang

cermat dan skenario-skenario dengan permainan peran adalah cara yang

paling baik untuk dengan mudah melalui sebuah krisis.

“Krisis adalah show-stopping, people-stopping, product-stopping, reputation-

redefining events yang menimbulkan korban-korban dan/atau penampakan

yang mencolok,” kata Lukaszewski, seorang penulis, pembicara, dan konsultan

manajemen krisis. Kunci untuk bertahan hidup, katanya, adalah bekerja

dengan jiwa kepemimpinan untuk menyusun rencana-rencana yang

menangani menit-menit dan jam di awal sebuah krisis, yang mencerminkan

adanya pemikiran fundamental yang baik, dan pengertian tentang kekuatan

korban.

Agnes, seorang ahli manajemen krisis internasional dan pembicara,

menyarankan para kliennya untuk mempraktikkan skenario-skenario krisis

untuk memastikan bahwa mereka mempunyai “proses eskalasi yang tepat,

orang yang tepat untuk mengambil keputusan, dan kesiapan untuk

mengkomunikasikan.”

Bertahan Sebuah krisis dapat didefinisikan secara sederhana yaitu ketika risiko menjadi

kenyataan, menurut Hector Parra seorang konsultan di Colombia. “Karena

setiap perusahaan didirikan untuk memenuhi kebutuhan para pemangku

kepentingan, perusahaan berupaya mencapai tujuan-tujuan yang terkait

dengan strategi, operasi, informasi, dan kepatuhan. Karena tujuan-tujuan itu

berada di masa depan, ada ketidakpastian, dan pencapaian tujuan bisa

dipengaruhi oleh risiko-risiko,” kata Parra. “Karenanya kita dapat mengatakan

bahwa krisis adalah sebuah perwujudan dari risiko yang menjadi kenyataan.”

Langkah pertama dalam upaya mencegah risiko menjadi krisis adalah

mengindentifikasikan risiko-risiko tersebut.

Ahli strategi Agnes menasihati klien-kliennya tentang bagaimana melihat

datangnya krisis. “Salah satu pendekatan adalah menanyakan kepada

manajemen tentang hal-hal yang paling dikhawatirkan. Lima atau 10 skenario

risiko tertinggi adalah cara yang baik untuk digunakan sebagai arah,” katanya.

“Begitu anda telah mengidentifikasikan risiko-risiko, anda dapat terus

melanjutkannya. Bicarakan dengan seluruh anggota manajemen untuk

memahami perspektif mereka. Menelusuri skenario-skenario risiko tinggi yang

utama merupakan latihan terbaik untuk mencapai kesiapan.”

Siapkan Organisasi untuk

Skenario-skenario Krisis

yang Berbeda

Melissa Agnes menyarankan para

klien untuk memikirkan skenario-

skenario krisis berdasarkan risiko

terbesar organisasi dan

mendapatkan nuansa-nuansa dari

setiap krisis. Langkah-langkahnya

adalah:

■ Tetapkan struktur governance

untuk manajemen krisis bagi

tiap skenario.

■ Bentuk tim manajemen krisis

untuk tiap skenario.

■ Tetapkan peran dan tanggung

jawab untuk tiap departemen

dan personil.

■ Siapkan proses eskalasi

internal.

■ Tetapkan siapa konstituen dan

pemangku kepentingan anda

dan apa ekspektasi mereka.

■ Prioritaskan tindakan-tindakan

atau pertimbangan-

pertimbangan yang perlu

diperhatikan dalam 24 sampai

48 jam pertama.

■ Pikirkan pertanyaan-

pertanyaan yang akan muncul

pada saat kejadian dan

jawaban-jawaban yang dapat

anda berikan.

7

globaliia.org


globaliia.org

Lukaszewski, yang disebut sebagai “America’s Crisis Guru®,” menyetujuinya.

“Kesiapan yang sukses selalu didasarkan oleh skenario,” katanya. “Gagal untuk

melakukan latihan skenario berarti gagal untuk menanggapi krisis.”

Perencanaan ini, yang memberi arah pada proses bertahan dan bereaksi, dapat

memanfaatkan pengamatan tajam audit internal di dalam penyusunan dan

pelaksanaannya. Para ahli menyarankan agar rencana membuat prioritas

berdasarkan kemungkinan terjadinya sebuah krisis, tingkat dampaknya, dan

potensi kerusakan tambahannya.

“Perencanaan krisis harus disusun dengan mempertimbangkan skenario

terburuk, didasarkan pada urutan risiko, dan menggunakan pendekatan atas ke

bawah (top-down approach), dimulai dari risiko yang ekstrim sampai yang

rendah,” saran Parra. “Tiap bentuk perencanaan krisis harus memiliki

pendekatan tertentu, tergantung pada kasusnya, khususnya pada siapa pihak

yang terdampak: karyawan, komunitas, pelanggan, pemegang saham.”

Rencana aksi harus mencakup sebanyak mungkin detail yang bisa dikumpulkan,

seperti langkah-langkah di 24 jam pertama, 48 jam pertama, pemberitahuan

yang proaktif, tanggapan yang reaktif, peran di lokasi yang telah ditetapkan,

jenis komunikasi, dan persyaratan legal, adalah beberapa contohnya. Jika

rencana tersebut adalah untuk skenario terburuk, rencana itu harus bisa

disesuaikan untuk bencana-bencana yang lebih ringan. Rencana tersebut harus

mencakup protokol untuk pengaktifan, dan memberikan metode pelaporan

bagi para karyawan, yang sering kali berada pada posisi yang terbaik untuk

melihat indikator-indikator situasi krisis secara dini.

Pengujian dan Pelatihan Lukaszewski menyarankan adanya pengujian terhadap rencana tersebut

sehingga bila sesuatu benar-benar terjadi, organisasi dapat lebih mudah

beralih ke rencana tanggap (response mode). Selain berlatih, gunakan

pendampingan dan pendidikan, right way/wrong way problems, simulasi, dan

latihan-latihan di atas meja yang memungkinkan setiap orang bisa menjalankan

perannya. Pada akhir dari setiap pelatihan, mutakhirkan rencana tersebut.

“Tanya pada diri anda dan mereka yang berpartisipasi dalam latihan, apa yang

sekarang telah kita ketahui tentang apa yang perlu lebih kita ketahui? Apa lagi

yang akan terjadi setelah yang ini terjadi?” kata Lukaszewski.

Pelatihan adalah sangat penting. Contohnya, ketika tiba saatnya untuk

mencegah terjadinya krisis cyber, audit internal dapat menjangkau para

karyawan dan menyampaikan tentang peran yang mereka bisa lakukan,

membantu mengorganisasikan acara-acara penyadaran, dan mengedukasi para

staf tentang praktik-praktik terbaik mengenai penggantian passwords,

penggunaan multifactor authentication, dan cara membuka email yang tidak

dikenal.

“Perencanaan krisis harus

disusun dengan

mempertimbangkan skenario

terburuk, didasarkan pada

urutan risiko, dan

menggunakan pendekatan

atas ke bawah (top-down

approach), dimulai dari risiko

yang ekstrim sampai yang

rendah.”

— Hector Parra

8


globaliia.org

Beberapa organisasi secara rutin menguji para karyawan dengan mengirim

email yang mencurigakan yang bila dibuka akan langsung menetapkan jadwal

pelatihan. Auditor-auditor yang terlatih bisa lebih memahami tentang system

patches, menekankan tentang pentingnya menguji pengendalian IT secara

regular, dan belajar dari kerangka kerja yang tersedia.

Persiapan dapat dilakukan tersendiri untuk setiap skenario, tetapi hal-hal yang

mendasar harus diberlakukan.“Krisis-krisis yang berbeda mempunyai dampak-

dampak yang berbeda,” kata Agnes. “Yang tidak berubah adalah ekspektasi

dan kekhawatiran para pemangku kepentingan. Pastikan anda memeriksa

daftar tentang hal-hal apa saja yang perlu diperhatikan, lalu susun tanggapan

anda termasuk tindakan-tindakan yang mungkin berbeda tergantung pada

situasi.”

Lukaszewski telah mengembangkan sebuah “persamaan kesiapan (readiness

equation),” dan mengatakan bahwa tiga per empat dari “kesiapan” adalah

memiliki informasi kontak yang akurat untuk secara cepat menemukan “orang

yang dapat mengatakan ya (people who can say yes).”

“Berusaha untuk membuat keputusan adalah salah satu hambatan paling besar

di dalam menanggapi krisis,” katanya. Daftar kontak yang benar akan

membawa anda mencapai 75 persen dari upaya menghilangkan hambatan

tersebut. Unsur-unsur lainnya, kata Lukaszewski, meliputi 15 persen pre-

authorization — yaitu keputusan yang bisa dibuat terlebih dahulu, seperti

membuat purchase order yang anda perlukan untuk memperoleh kendaraan

untuk memindahkan orang bila dibutuhkan. Delapan persen adalah persiapan

dan pengujian skenario secara menyeluruh, dan 2 persen adalah kejutan.

Kejutan membuat sebuah situasi menjadi krisis.

Agnes menyetujuinya, dan mengatakan bahwa rencana tersebut harus

mengatur adanya orang yang tepat di lokasi sebagai sebuah cara untuk

memastikan terjadinya proses eskalasi yang tepat.“Protokol eskalasi internal

yang benar yang mengatur adanya orang yang tepat di lokasi pada waktu yang

tepat akan bisa melaksanakan satu dari dua hal ini: melakukan eskalasi dengan

sangat cepat ketika berhadapan dengan krisis yang gawat, atau menghindari

eskalasi yang tidak perlu jika situasi tidak membutuhkannya,” katanya. “Orang

yang tepat” berarti hadirnya seorang wakil dari tiap unit bisnis, sektor, dan

kelompok pemangku kepentingan untuk melihat situasinya secara luas, tidak

hanya dari perspektif hukum, kepatuhan, CEO, atau HR, katanya.

Rapa menamakan kelompok ini sebagai Incident Management Team atau Crisis

Management Team, dan juga menyarankan agar kelompok ini bersifat cross-

functional dan cross-domain, yang mencakup, contohnya, executive

management, operations, technology, legal, media relations, dan client

relations.

“Berusaha untuk

membuat keputusan

adalah salah satu

hambatan paling besar

di dalam menanggapi

krisis.”

— James Lukaszewski

9

globaliia.org


globaliia.org

Selama perencanaan, siapkan untuk situasi di mana organisasi tidak dalam

krisis tetapi menjadi bagian dari industri atau wilayah di mana krisis sedang

terjadi, saran dari majalah Internal Auditor pada edisi April 2017. Sebagai

contoh, Ford secara cepat memisahkan diri dari krisis yang terjadi di

Volkswagen dengan sebuah pengumuman untuk tidak menggunakan defeat

devices, tulis J. Michael Jacka. Artikel tersebut, “Resilience Through Crisis,” juga

mengingatkan bahwa para juru bicara yang ditugaskan harus memiliki

kombinasi yang tepat yaitu keahlian di bidang media dan wewenang sebagai

eksekutif, dan rencana tersebut harus mencakup informasi yang detail untuk

berhubungan dengan media.

Mengerjakan sebuah skenario secara lengkap bisa memakan waktu berbulan-

bulan — membangun proses eskalasi, menemukan kekurangan, dan

menyiapkan reaksi untuk organisasi secara keseluruhan. Lukaszewski

menyarankan untuk hanya merencanakan satu atau dua skenario dalam

setahun.

Dan sementara sebuah rencana yang terperinci akan membuat hasil yang

sangat berbeda, para ahli sepakat bahwa tidak ada satu rencana yang cocok

untuk semua situasi.

“Mencoba membuat sebuah rencana manajemen krisis yang mencakup semua

hal untuk semua jenis ancaman yang terlihat atau yang diperkirakan adalah

sangat menantang, jika tidak mustahil,” kata Rapa.

Begitu sebuah program kesiapan disusun, langkah berikutnya adalah

menumbuhkan sebuah budaya siap krisis yang akan memungkinkan organisasi

memiliki daya tahan.

Bereaksi Dengan menjadi proaktif dan memahami prosesnya, audit internal dapat

membantu organisasi membangun sebuah tingkat kenyamanan ketika krisis

terjadi di mana orang akan mengerti dan bukan menjadi khawatir serta

defensif.

Audit internal bisa memastikan bahwa sebuah rencana manajemen krisis yang

mutakhir dapat menanggulangi insiden dan akibatnya secara menyeluruh, dan

menguji kemampuan untuk menggerakkan sebuah tim tanggap insiden.

Setelah krisis berkembang, audit dapat menilai, misalnya, lingkup kejadian,

kebutuhan akan pihak ketiga, risiko reputasi, dan keamanan dari sebuah lokasi

penyimpanan data yang terpisah. Audit internal dapat bekerja dengan

penasihat hukum internal untuk memeriksa dampak hukumnya, dan bekerja

dengan HR untuk membantu menyelidiki sebuah situasi ketenagakerjaan, atau

menentukan apakah orang yang memenuhi syarat akan tersedia untuk

menangani sebuah insiden.

10


globaliia.org

Para auditor dapat membantu organisasi untuk berkomunikasi secara terbuka

dan teratur dengan publik, karyawan, rekan bisnis, dan para pemangku

kepentingan.

“Sebuah tim tanggap yang sukses akan berkembang di dalam organisasi dan

akan membantu perusahaan mengidentifikasi dan memahami risiko serta

memungkinkan executive management membuat keputusan terbaik untuk

menangani risiko perusahaan,” kata Rapa. “Audit internal harus mempunyai

peran pengawasan di dalam pelaksanaan sebuah rencana yang telah diperiksa

oleh para pemangku kepentingan utama.”

Ketika sebuah bencana terjadi, tindakan pertama adalah menggerakkan

tanggap darurat, menyelamatkan nyawa, dan melindungi harta, demikian

menurut Parra. Setiap reaksi harus diukur dalam menit atau jam. Sebuah

langkah awal yang penting adalah melakukan komunikasi internal dan

eksternal tentang apa yang terjadi dan apa langkah-langkah selanjutnya, kata

Parra. Sebagai contoh, ketika sebuah bank di Colombia mengalami kegagalan

sistem yang mempengaruhi transaksi online, komunikasi segera kepada para

nasabah dan pihak berwenang, yang menginformasikan tentang masalah

tersebut dan tindakan-tindakan perbaikannya, telah mencegah kepanikan,

katanya.

Ia menyarankan audit internal untuk membantu mengevaluasi keseriusan

sebuah krisis dengan melihat dampak-dampaknya pada upaya pencapaian

tujuan, manusia, reputasi, harta termasuk data dan informasi, serta pada

aturan-aturan lingkungan.

Mempertimbangkan keseriusan krisis tersebut mengingatkan pada pemikiran

sebelumnya, kata Agnes. Dengan menerapkan sebuah rencana yang telah

dipikirkan secara menyeluruh, organisasi akan membantu menciptakan sebuah

budaya siap krisis.

“Ini berarti anda tidak bisa hanya membuat rencana dan meninggalkannya di

rak. Bahkan bila anda mengulasnya setiap bulan, hal itu tidak cukup, karena

selalu ada faktor-faktor di dunia yang terus berubah yang berdampak kepada

kita di dalam krisis,” katanya. “Apa yang anda inginkan adalah membuat

manajemen risiko, pencegahan krisis, dan tanggapan terhadap krisis sebagai

bagian yang tidak terpisahkan di setiap jajaran organisasi. Anggota-anggota tim

anda perlu memahami rencana tersebut dengan baik sehingga hal itu menjadi

nalurinya. Anda menginginkan mereka sangat mengetahui apa yang

diharapkan dari mereka untuk dilakukan dan apa tindakan yang paling baik –

yaitu membangun muscle memory.”

Satu dari beberapa aspek reaksi yang terpenting adalah komunikasi. “Diam

adalah kejatuhan anda,” kata Agnes. “Dulu hal itu baik, tetapi tidak lagi.”

“Apa yang anda inginkan

adalah membuat

manajemen risiko,

pencegahan krisis, dan

tanggapan terhadap krisis

sebagai bagian tak

terpisahkan di seluruh

jajaran organisasi.”

— Melissa Agnes

11

globaliia.org


globaliia.org

Lukaszewski menyebutkan bahwa diam adalah “strategi yang paling merusak

yang bisa anda pilih.” Ia menyarankan organisasi berkomunikasi dengan penuh

niat, dengan “keterusterangan, keterbukaan, dan kejujuran.” Para perwakilan

harus “mudah dikontak, tanggap, jelas, terlibat penuh, dan bersedia

menerangkan, berkomentar, dan mengkoreksi bila diperlukan.”

Media sosial sangat bermanfaat sekarang ini karena para tim krisis dapat

mengirim pesan-pesan yang cepat dan singkat yang menunjukkan bahwa

mereka sedang sibuk menangani masalahnya, kata Lukaszewski. Ia

menyarankan dibentuknya grup SMART: Social, Media, Action/Attack,

Response, Team.

“Tujuan anda adalah bertindak cepat dan efektif. Akan ada kesalahan-

kesalahan karena ini adalah sebuah krisis. Setiap hari, anda akan menggunakan

50 persen energi dan 25 persen sumber daya untuk memperbaiki kesalahan-

kesalahan yang lalu,” kata Lukaszewski. “Ingat, tanggapan anda bisa sempurna

secara teknis, tetapi bila anda ceroboh terhadap para korban dan dalam

berkomunikasi, seperti itulah tanggapan anda akan diingat. Berpikir cepat,

bertahap, dan bertindak. Semakin lama waktu yang dibutuhkan untuk

bertindak, semakin rusak reputasi anda.”

Ia juga menyarankan untuk membuat webpage untuk tiap skenario yang tetap

tersimpan sampai dibutuhkan. Ketika diaktifkan, dapat memberikan fakta-fakta

dan data, Q&A, hal-hal yang dipertaruhkan, dan fitur interaktif.

“Bagaimana perusahaan anda mengikuti rencana akan mempunyai dampak

langsung mengenai bagaimana pandangan terhadap manajemen — baik secara

internal oleh para karyawan dan secara eksternal oleh pelanggan, rekan bisnis,

media, pemerintah, dll.” kata Rapa. Reaksi-reaksi wajar yang disarankannya

antara lain:

■ Tetap tenang.

■ Berkomunikasi dengan secara luas dan sering dengan semua pihak terkait

tergantung pada jenis dan lingkup insiden.

■ Jalankan rencana, tetapi lakukan penyesuaian-penyesuaian berdasarkan

perkembangan kejadian.

■ Lanjutkan. Lanjutkan. Lanjutkan.

Lukaszewski selalu mengingatkan para klien untuk menangani korban. “Para

korban memerlukan kejelasan, perlu berbicara,” katanya. “Perusahaan-

perusahaan yang cerdas memfasilitasi percakapan ini. Apa yang para korban

sangat inginkan adalah seseorang yang mengatakan ‘maaf’. Manajemen harus

menunjukkan sikap positif.”

Permintaan Maaf Yang

Sempurna

America’s Crisis Guru menawarkan

“Bahan-bahan untuk sebuah

Permintaan Maaf Yang Sempurna”:

■ Pengakuan verbal atau tertulis

tentang tanggung jawab karena

telah mengakibatkan

penderitaan dan kesengsaraan.

■ Pengakuan khusus dan uraian

tentang kerusakan yang terjadi.

■ Pelajaran yang diperoleh dan

perubahan-perubahan yang

harus dilakukan untuk

mencegah situasi itu terjadi lagi.

■ Meminta maaf.

■ Menawarkan ganti rugi.

Bila satu dari hal-hal di atas

ditiadakan, permintaan maaf anda

kurang memiliki kredibilitas.

Source: Lukaszewski on Crisis

Communication: What Your CEO Needs to

Know About Reputation Risk and Crisis

Management, Rothstein Associates Inc.

Brookfield, CT, © 2013, James E. Lukaszewski

12


globaliia.org

Memulihkan Audit internal dapat membantu organisasi pulih dari krisis dengan melakukan

evaluasi dan pelaporan tentang efektivitas dari upaya-upaya organisasi, menilai

hal-hal seperti dampak jangka panjang terhadap reputasi, proses pemulihan

data, pengawasan terhadap para pihak ketiga yang digunakan, kecukupan

sumber daya yang ditugaskan dan pelatihan.

Tindakan-tindakan setelah krisis membantu organisasi untuk memperbaiki

rencana daya tahan terhadap krisis di masa yang akan datang dan harus

mencakup dokumentasi dan penerapan dari hal-hal yang dipelajari, kata Parra.

Bahkan insiden-insiden yang tidak penting perlu dicatat dan disimpan untuk

rujukan di masa mendatang.

Dokumentasi harus mencakup sebab, dampak, tanggapan, waktu yang

dibutuhkan untuk pemulihan, tindakan yang diperlukan, hal-hal yang dipelajari,

dan seterusnya, kata Rapa.

“Tinjauan setelah insiden adalah tempat di mana audit internal harus

menjalankan peran utama,” kata Agnes. “Auditor internal perlu menilai,

meninjau, dan memperbaiki. Dan, duduk bersama dengan orang yang tepat,

memperhatikan insiden tersebut dan bertanya, misalnya, apa yang bisa kita

lakukan secara berbeda, bagaimana kita memastikan insiden ini tidak terjadi

lagi, apakah rencana tindakan dan komunikasi bermanfaat?” katanya. “Setelah

mereka menjawab pertanyaan-pertanyaan tersebut, diskusikan, evaluasi, dan

perbaiki. Perkuat rencana dan uji lagi dengan simulasi.”

Ketika audit internal menjalankan sebuah peran yang berpengaruh dalam

menerapkan hal-hal yang dipelajari – baik bagi organisasi maupun di rencana

audit – hal ini memberikan kesempatan untuk berubah dari peran pendukung

menjadi pelopor di dalam organisasi.

“Bagi para auditor yang tidak merasa memiliki cukup peran, temukan cara

untuk menunjukkan nilai anda dan dapatkan tempat yang terhormat,” saran

Agnes. “Apa komite yang bertemu secara teratur yang meninjau hal-hal seperti

ini? Apa komite yang anggota-anggotanya membicarakan tentang krisis,

manajemen pencegahan, dan kesiapannya? Jika anda mendapat kesempatan,

maka audit akan didengar dan memberikan masukan pada program-program

yang ada.”

Meningkatkan Rencana

Daya Tahan dengan

Tinjauan Sesudah Krisis

Hal-hal yang dipelajari (lessons

learned) sesudah terjadi krisis dapat

sangat berharga bagi fungsi audit

internal. Dengan menggabungkan

pengalaman ini ke dalam rencana,

organisasi dapat semakin berdaya

tahan terhadap krisis. Beberapa hal

yang John Rapa sering tanyakan

ketika keadaan sudah tenang antara

lain:

■ Bagaimana insiden tersebut

diketahui?

■ Siapa yang mengetahuinya

pertama kali?

■ Siapa “para penanggap

pertama” yang

mengidentifikasikan pengaruh

dari gangguan tersebut?

■ Bagaimana tanggapan terhadap

insiden tersebut ditangani oleh

manajemen? Oleh karyawan?

■ Seberapa baik dan sering

perusahaan berkomunikasi

dengan karyawan, klien, unsur

bisnis utama, penyedia layanan

utama, pemerintah, media?

■ Apakah peninjauan pasca

kejadian dilakukan untuk

mengetahui akar masalah,

pengaruh, dan dampaknya ke

bisnis, juga untuk bahan

pelajaran?

■ Apakah rencana aksi

dilaksanakan untuk

menanggulangi kelemahan,

risiko, atau ancaman baru?

13

globaliia.org


globaliia.org

Penutup “Tanggapan anda akan dikritik oleh orang yang tidak berada di tempat

kejadian, yang mengutip orang yang juga tidak ada di sana,” kata Lukaszewski.

“Tetap fokus pada menyelesaikan hal-hal yang paling penting.”

Ia menyarankan para kliennya untuk terus mengevaluasi kekurangan-

kekurangan, mengelola dampaknya, dan secara rutin memberitahu

management dan board mengenai ancaman-ancaman.

Sebuah perubahan terminologi yang sederhana dapat membuat prosesnya

menjadi lebih mudah. “Kata krisis mengganggu para pimpinan, karena hanya

sedikit pemimpin yang percaya bahwa krisis akan terjadi pada mereka,” kata

Lukaszewski. “Kesiapan (Readiness) membantu mereka lebih memahami apa

yang perlu mereka lakukan.”

Agnes mengatakan hal itu terdengar klise, tapi bentuk terbaik dari manajemen

krisis adalah pencegahan krisis. “Identifikasikan risiko-risiko utama dan lakukan

apa yang diperlukan untuk mencegah hal-hal yang dapat dicegah,” kata Agnes,

“tetapi pastikan untuk melakukan pengelolaan yang efektif untuk hal-hal yang

tidak bisa dicegah.”

Dalam lingkungan yang kompleks dan selalu berubah yang merupakan krisis,

sebuah organisasi bisa menyesuaikan, bertahan untuk tidak terpengaruh,

kembali pulih ke keadaan normal dengan cepat, mempertahankan struktur dan

fungsi-fungsinya, serta mundur dengan baik. Dengan masalah-masalah pokok

bisa diidentifikasikan; skenario-skenario diperbaharui; halaman website

dikembangkan; pesan-pesan disusun; dan sebuah rencana disiapkan, diuji, dan

diperbaharui secara teratur, audit internal dapat membantu pimpinan untuk

tidak hanya siap menghadapi krisis, tetapi seluruh jajaran organisasi menjadi

berdaya tahan terhadap krisis.


Karakteristik Organisasi Yang Tahan Krisis

■ Seorang pejabat senior bertanggung jawab untuk berdaya tahan terhadap krisis:

o Ada rantai otoritas yang ditunjuk untuk mengambil keputusan di saat terjadinya krisis.

o Ada jalur komunikasi dan tanggapan yang mutakhir untuk menangani krisis apapun.

■ Ada sebuah rencana daya tahan terhadap krisis yang:

o Mencakup seluruh fungsi-fungsi utama bisnis.

o Mengidentifikasikan semua pemangku kepentingan utama (internal dan eksternal) dan metode

untuk mengkomunikasikan status pada saat krisis ditangani.

o Mengidentifikasikan skenario-skenario risiko utama dan prosedur-prosedur tanggap yang

khusus.

o Mencakup komponen disaster recovery yang terkait dengan operasi IT.

o Dikomunikasikan dan dipahami di seluruh jajaran organisasi.

o Diuji secara teratur.

Setelah pengujian secara periodik, hasilnya dibagikan dan langkah-langkah tindakan

korektif disusun.

o Menyediakan prosedur untuk peninjauan setelah krisis dan pelaksanaan untuk hal-hal yang

dipelajari.

■ Penilaian risiko secara periodik dilakukan; rencana krisis direvisi berdasarkan perubahan lingkungan

risiko.

■ Fasilitas cadangan sudah disiapkan dan tersedia pada saat terjadinya kerusakan fisik di lokasi atau pada

kemampuan untuk menyimpan data dengan aman.

■ Audit internal mendapatkan tempat untuk memberikan masukan, menilai risiko, dan secara berkala

melakukan pengujian rencana ketahanan krisis.

15

globaliia.org


globaliia.org

Untuk Informasi Tambahan Internal Auditor magazine, “Resilience Through Crisis,” J. Michael Jacka, April 2017 (www.theiia.org)

Deloitte, “A Crisis of Confidence,” 2016 (www.deloitte.com)

DRI International, International Glossary for Resilience (www.drii.org)

The IIA Practice Guide: Business Continuity Management (www.theiia.org)

“The Security Intelligence Center – Next Steps: Beyond Response to Anticipation,” Internal Audit Foundation and Crowe

Horwath (www.theiia.org)

Diterjemahkan dan diselaraskan oleh IIA Indonesia Volunteers:

1. Rama Indrayana

2. Setyo Wibowo, CIA, CRMA.

3. Hartian S. Widhanto, CIA, CRMA.


About The IIA The Institute of Internal Auditors (IIA) is the internal audit profession’s most widely recognized advocate, educator, and

provider of standards, guidance, and certifications. Established in 1941, The IIA today serves more than 190,000

members from more than 170 countries and territories. The association’s global headquarters are in Lake Mary, Fla.,

USA. For more information, visit www.globaliia.org.

Disclaimer The opinions expressed in Global Perspectives and Insights are not necessarily those of the individual contributors or of

the contributors’ employers.

Copyright Copyright © 2017 by The Institute of Internal Auditors, Inc., (“The IIA”) strictly reserved. Any reproduction of The IIA name or logo will

carry the U.S. federal trademark registration symbol ®. No parts of this material may be reproduced in any form without the written

permission of The IIA.

http://www.globaliia.org/

issue 7 global perspectives and insights kesadaran para anggota board mengenai potensi krisis dan...

Documents